Как залить шелл на сайт?

2 ноября 2014 г. Просмотров: 639 Инструкции
Знание способов нападения позволяет выстроить эффективную стратегию защиты – данное правило актуально не только в армейских кругах, но и на просторах интернета. Понимая, как хакеры взламывают сайты, вы сможете заранее закрывать возможные уязвимости вашего ресурса.

Инструкция

  • «Залить шелл на сайт» - значит использовать имеющуюся на сайте уязвимость с целью внедрения вредоносного скрипта (веб-шелла), позволяющего хакеру управлять чужим сайтом через командную строку.
    Простейший PHP-шелл выглядит так:
  • Хакеру не обязательно создавать собственный веб-шелл, подобные программы уже давно написаны и обладают очень большим набором функций. Задача хакера состоит в том, чтобы залить готовый шелл на сайт, обычно для этого применяются SQL- и PHP-инъекции.
  • SQL-инъекции используют ошибки в организации доступа к базам данных. Внедряя в запрос свой код, хакер может получить доступ к файлам базы данных – например, к логинам и паролям, данным банковских карт и т.п. PHP-инъекции основаны на ошибках в PHP-скриптах и позволяют выполнить на сервере посторонний код.
  • Как узнать, если ли на вашем сайте уязвимости? Можно вручную вводить определенные команды, поставлять значения в адресную строку и т.д, но для этого нужны определенные знания. Кроме того, нет никакой гарантии, что вы проверите все возможные варианты. Поэтому воспользуйтесь для проверки специализированными утилитами – например, программой XSpider. Это абсолютно легальная программа, созданная для сетевых администраторов, с ее помощью вы сможете проверить свой сайт на уязвимости. Ее демоверсию можно найти в сети.
  • Существует множество программ для поиска уязвимостей, созданных хакерами. Используя эти утилиты, администратор может проверить свой сайт теми же инструментами, которыми его могут попытаться взломать. Чтобы найти эти инструменты, наберите в поисковике «SQL-сканеры» или «сканеры PHP-уязвимостей». В качестве примера утилиты, позволяющей, при наличии SQL-уязвимости, получить информацию из базы данных, можно привести программу Havij – Advanced SQL Injection Tool. Проверить свой сайт на присутствие SQL-уязвимости можно с помощью хакерской утилиты NetDeviLz SQL Scanner. Выявленные уязвимости следует немедленно устранить.
  • Оцените статью!